В 2025 году в России могут запустить страховку рисков утечек

До конца 2025 года в России может появиться страховка рисков утечек. Соответствующий механизм, предполагающий возмещение морального ущерба и вреда имуществу и здоровью пострадавших, уже прорабатывается во Всероссийском союзе страховщиков.

Источники рассказали журналистам издания РБК, что этот механизм будет предусматривать определённый размер компенсации гражданам, пострадавшим от утечек конфиденциальной информации. Причём размер этой компенсации будет напрямую зависеть от типа личных данных, которые утекли в открытый доступ. Например, если это ФИО, информация о доходах и имуществе, то компенсация составит 1 000 руб. В том случае, если утекут данные о политических взглядах человека, его религии и состоянии здоровья, размер выплаты возрастёт до 2 000 руб. В случае утечки биометрической информации компенсация составит 5 000 руб.

Эксперты при этом отмечают, что на данный момент для пострадавших от утечек конфиденциальной информации граждан единственным возможным вариантом защиты своих прав является обращение в судебные органы. Аналитики подчёркивают, что требуется, чтобы в ситуации, если факт утечки зафиксирован, организация была бы безусловно обязана каждому обратившемуся пользователю, предоставляющему минимальное подтверждение того, что его личные данные утекли, выплачивать компенсацию в несколько десятков тысяч рублей. В связи с этим механизм страховки необходимо рассматривать только как один из шагов в этом направлении.

Помимо этого, необходимо принимать во внимание тот факт, что страховка является инструментом, который требуется операторам персональных данных, а для конечного потребителя подобный шаг непосредственного эффекта не имеет.

Также планируется, что размер страховой суммы будет зависеть от объёмов конфиденциальной информации, обработкой которой занимается конкретная организация. К примеру, если в базе данных компании присутствуют личные данные не более 1 000 человек, то она составит до 5 млн руб. Максимальная сумма — 1 млрд руб., если компания обрабатывает более 1 млн строк с личными данными граждан.

Игорь Баранов, адвокат, партнер АБ «Авекс Юст», преподаватель Академии Информационных систем, заявил CISOCLUB: «На мой взгляд, страхование кибер рисков не может привести к усилению информационной безопасности операторов персональных данных. Наоборот, зная, что убытки перед гражданами покрывает страховка, операторы не будут видеть смысла дополнительных вложений в безопасность собираемой информации, утечки проще скрыть или договориться со взломщиками за вознаграждение.

Однако, для защиты коммерческой тайны и другой чувствительной информации оператора, не связанной с персональными сведениями клиентов, страховка вполне может быть эффективной мерой покрытия собственных убытков компании.

Поэтому считаю, что инициатива по введению страхования рисков утечек персональных данных является спорной и может ослабить ожидаемый положительный эффект от предстоящего введения в действие законов об оборотных штрафах и уголовной ответственности за утечки персональных данных.

Очевидно, что предупреждение рисков утечки данных является механизмом, который способен реально снизить количество информационных инцидентов с персональными данными в нашей стране. Страхование же является мерой устранения последствий утечек данных, что не будет способствовать укреплению информационный безопасности операторов данных».

Руководитель направления по развитию методологии цифровой устойчивости ИТ-компании Innostage Антон Калинин: «Важно защищать персональные данные и нужно предусматривать эффективные механизмы регулирования в этой сфере. Но утечка данных – не единственный критичный риск при хакерских атаках. У бизнеса есть потребность в страховании от целого ряда негативных сценариев, таких, как кража денег со счетов компании, шифрование и подмена данных, отказы в обслуживании критичных информационных и технологических систем или иные зловредные действия, приводящие к риску полной остановки деятельности компании

Поэтому размер страховки должен определяться не только объемами конфиденциальной информации. Тут зачастую важнее замерить текущий уровень цифровой устойчивости и защищенности важнейших сервисов и бизнес-процессов. Ведь при расчете стоимости страховки на автомобиль учитывается его техническое состояние, напрямую влияющее на риски попасть в аварию. Тут примерно такой же принцип. Чтобы застраховать риски, нужно провести комплексную экспертную оценку и уже на этом базировать стоимость и другие условия выдачи «страхового ИБ-полиса». Мы периодически получаем запросы на страховку от «больших проблем» и прорабатываем технические возможности, методологии и подходы, на которых можно будет выстроить эту работу».

Юрий Силаев, руководитель направления НИОКР Холдинга «ЦИКАДА»: «Введение страховки рисков утечек персональных данных станет важным шагом в охране прав граждан на фоне растущего числа взломов различных систем. Механизм, предлагающий возмещение морального ущерба и, в отдельных случаях, вреда здоровью потерпевших, способен повысить степень уверенности пользователей в получении компенсаций при утечках их персональных данных. Тем не менее, озвученные суммы компенсаций в большинстве случаев могут показаться недостаточными для полного возмещения ущерба, особенно когда речь идет о более чувствительной информации, такой как биометрические данные.

Сегодня в России вводятся оборотные штрафы для компаний, допустивших утечку персональных данных. Однако эти средства направляются в государственный бюджет, а не компенсируют ущерб пострадавшим. Это обязывает организации более ответственно относиться к защите персональных данных. Предложенный механизм страховки, в первую очередь, выгоден операторам данных, а не конечным пользователям.

С введением такой страховки на российском рынке может возникнуть новый вид услуги — аудит и оценка уровня защищенности компаний, обрабатывающих персональные данные, особенно в сфере биометрии, таких как банковские учреждения. Эти организации могут заказывать специальные аудиты и публиковать их результаты в открытом доступе, демонстрируя свое стремление к высокому уровню защиты персональных данных. В условиях активного использования биометрических данных при дистанционных финансовых операциях (например, при открытии новых счетов или получении кредитов) граждане предпочтут те финансовые организации, которые не только заявляют о наличии эффективных механизмов защиты, но и готовы подтвердить это в рамках независимого аудита.

Кроме того, сотрудничество компаний в области информационной безопасности и страхования станет ключевым фактором в развитии надежных решений. Совместные усилия помогут повысить уровень защиты данных и создать более безопасную среду для пользователей, а также сформировать доверительный механизм страхования рисков утечек персональных данных».